PT-2020-10060 · Tribal+1 · Tribal Sits:Vision+1
Callum Murphy
·
Publicado
2020-03-25
·
Atualizado
2020-08-24
·
CVE-2019-19127
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Tribal SITS:Vision versão 9.7.0
Descrição
Existe uma falha de contorno de autenticação no componente autônomo SITS:Vision do Tribal SITS em sua configuração padrão. Isso está relacionado às comunicações não criptografadas enviadas pelo cliente a cada vez que ele é iniciado, o que ocorre porque o Uniface TLS Driver não está habilitado por padrão. Isso permite que invasores obtenham acesso a credenciais ou executem consultas SQL arbitrárias no backend do SITS, desde que tenham acesso ao executável do cliente ou possam interceptar o tráfego de um usuário que o tenha.
Recomendações
Como solução temporária, considere habilitar o Uniface TLS Driver para criptografar as comunicações e minimizar o risco de exploração.
Restrinja o acesso ao backend do SITS para minimizar o risco de execução de consultas SQL arbitrárias.
Evite usar o executável do cliente em redes não seguras até que o problema seja resolvido.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tribal Sits:Vision
Uniface Tls Driver